如今,各行各业走上了向云端迁移之路,高度动态的云环境给传统漏洞管理工作带来越来越多的挑战。一方面,网络安全漏洞是大量网络安全事件、网络违法犯罪活动发生的罪魁祸首,防不胜防,即使是再严格的测试也无法根除网络安全漏洞;另一方面,基础电信企业经过多年建设,IT资产数量庞大,管理工作繁杂,云计算、大数据、工控和物联网等新技术的广泛应用,数字攻击面持续增长将成为常态化趋势,新的安全威胁不断涌现。

由工业和信息化部、国家互联网信息办公室、公安部共同发布的《网络产品安全漏洞管理规定》,作为《中华人民共和国网络安全法》的重要配套规范,明确网络产品提供者、网络运营者,以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务。此次规定的发布,标志着我国网络产品安全漏洞管理工作的制度化、规范化、法治化。

漏洞管理作为企业安全建设的重要工作,需要一个清晰的、体系化的漏洞管理思路,以提高漏洞管理水平。为此,天融信提出网络安全漏洞全生命周期闭环管理解决方案,以天融信漏洞管理平台为主要载体,实施“六步走”策略,多角度覆盖漏洞治理全流程,实现漏洞收集、验证、处置、跟踪的闭环管理效果。

第一步:对资产进行全量采集与发现,并通过自动化工单流转建立标准化资产管理流程。

第二步:收集知名漏洞库、开源社区、安全论坛、供应商官方网站等披露的漏洞信息,同步关联存量资产,第一时间感知资产风险。

第三步:结合人工、自动化工具对漏洞有效性、真实性进行验证,优先修复风险等级高的漏洞,提升漏洞修复效率。

第四步:持续跟踪监测,对修复后的漏洞实施二次扫描研判,根据实际情况对防范措施做进一步改进。

第五步:建立漏洞发布内部审核机制,在满足国家漏洞相关规定的情况下,按漏洞严重程度发布漏洞。

第六步:建立漏洞挖掘众测机制,调动内、外部安全专家参与积极性,联合多方技术能力,对业务系统和产品安全风险进行自查。

方案结合资产管理,漏洞收集、漏洞验证、处置、众测和报送等工作机制,持续提升网络安全主动防御能力和水平,确保漏洞管理工作流程规范化、统一化、标准化,着力实现漏洞整改闭环管理。

全面化资产管理

借助天融信脆弱性扫描与管理系统对客户资产全方位扫描探测,确保全面覆盖漏洞管理对象。同时联动天融信漏洞管理平台对资产增删、资产归属、工单流转进行维护与管理。

流程化漏洞管理与处置

持续预警漏洞风险、关联分析漏洞与资产、动态流转漏洞验证工单,全程跟踪处置结果,实现漏洞精准化、流程化风险修复。

模块化漏洞众测

天融信漏洞管理平台支持管理员发起众测项目,对反馈的漏洞风险量化计分,鼓励安全专家发挥其技术实力,更好地发现自有业务系统和产品的安全风险。

技术化漏洞挖洞

天融信安全服务团队专注于网络空间的攻击技战法、溯源、分析、防御技术的研究,挖掘传统网络空间及云、5G、IOT新环境下的软硬件0day漏洞。

专业化漏洞库建设

对接国家信息安全漏洞库、开源漏洞情报、第三方威胁情报等漏洞来源,持续接收更新漏洞信息,可定制化实现与上级监管单位漏洞管理平台任务指令的接收与响应。

定制化接口对接

打造上下贯通、部企协同、两级联动的安全漏洞监测与管理体系,实现行业安全漏洞态势感知、风险预警、协同处置,提升行业安全漏洞管理能力。

方案价值

政策合规,实现漏洞及时修补:满足《中华人民共和国网络安全法》《网络产品安全漏洞管理规定》以及《关键信息基础设施安全保护条例》要求,实现对网络产品、服务、系统等漏洞及时修补,提高网络安全防护水平。

提高效率,降低业务风险:提升企业网络安全漏洞管理工作效率,缩减安全漏洞发现、修复和有效监管时间,减少资产漏洞对网络空间的安全威胁,提升国家关键基础设施及业务系统安全性。

闭环管理,漏洞全生命周期防护:针对漏洞全生命周期防护,从资产采集、漏洞收集、漏洞验证、漏洞处置、漏洞发布、漏洞跟踪、漏洞消除进行全生命周期闭环管理,实现管理自动化、流程化。

多年来,天融信积极参与并承担多项国家级、省部级重点网络安全科研项目,持续为国家互联网应急响应中心、中国信息安全测评中心提供大量技术及攻关支撑。目前,天融信已连续九年获得国家信息安全漏洞库(CNNVD)技术支撑单位(一级),连续四届获得国家信息安全漏洞共享平台(CNVD)原创漏洞发现突出贡献单位,首批获得信创政务产品安全漏洞专业库(CITIVD)技术支撑单位、工业和信息化部移动互联网APP安全漏洞库(CAPPVD),连续两年获得国家工业信息安全漏洞(CICSVD)优秀成员单位等荣誉。